萬(wàn)豪酒店超5億住客信息外泄！為什么出事的總是酒店業(yè)？未來(lái)加強(qiáng)酒店信息安全監(jiān)管已大勢(shì)所趨【圖】

    11月30日，萬(wàn)豪集團(tuán)公布了一個(gè)爆炸性的消息，萬(wàn)豪國(guó)際集團(tuán)發(fā)布聲明稱(chēng)，公司旗下喜達(dá)屋酒店的一個(gè)客房預(yù)訂數(shù)據(jù)庫(kù)被黑客入侵，在2018年9月10日或之前曾在該酒店預(yù)定的最多約5億名客人的信息或被泄露。

    萬(wàn)豪方面表示，集團(tuán)內(nèi)部調(diào)查發(fā)現(xiàn)，自2014年以來(lái)，一名攻擊者一直都能夠訪(fǎng)問(wèn)該集團(tuán)喜達(dá)屋（Starwood）部門(mén)的客戶(hù)預(yù)訂數(shù)據(jù)庫(kù)，但公司在近期才發(fā)現(xiàn)這一問(wèn)題。

    萬(wàn)豪在聲明中稱(chēng)：“公司尚未完成在數(shù)據(jù)庫(kù)中識(shí)別重復(fù)信息的工作，但認(rèn)為這個(gè)數(shù)據(jù)庫(kù)中包含了大約5億人次預(yù)訂喜達(dá)屋酒店客人的詳細(xì)信息。”

    在5億人次中，有大約3.27億人次的姓名、郵寄地址、電話(huà)號(hào)碼、電子郵件地址、護(hù)照號(hào)碼、賬戶(hù)信息、出生日期、性別以及到達(dá)和離開(kāi)酒店的信息已被泄露。

    萬(wàn)豪方面還補(bǔ)充，可能泄露的還包括加密的信用卡信息，且不能排除加密密匙同時(shí)被盜的可能性。

    為什么出事的總是酒店業(yè)？

    本年度酒店數(shù)據(jù)泄露早已不是第一次。今年8月，華住酒店集團(tuán)約5億條用戶(hù)數(shù)據(jù)被曝在暗網(wǎng)售賣(mài)，隨后華住宣布已經(jīng)報(bào)警。9月，華住發(fā)布公告，稱(chēng)嫌疑人已被警方抓獲，數(shù)據(jù)尚未被售出。11月初，麗笙酒店發(fā)布公告，稱(chēng)會(huì)員信息疑似泄露。據(jù)估算，至少有10%的麗笙獎(jiǎng)勵(lì)計(jì)劃會(huì)員受到影響。

    分析認(rèn)為，目前很多酒店都有在線(xiàn)訂房業(yè)務(wù)，這里的安全問(wèn)題比較容易暴露出來(lái)，被黑客利用。黑客往往可輕松獲取到千萬(wàn)級(jí)的酒店顧客的訂單信息，包括顧客姓名、身份證、手機(jī)號(hào)、房間號(hào)、房型、退房時(shí)間、家庭住址、信用卡后四位、信用卡截止日期、郵件等大量敏感信息。甚至，“只要在網(wǎng)站輸入姓名、身份證等信息，就能查到你的開(kāi)房記錄”。

    根據(jù)萬(wàn)豪國(guó)際發(fā)布的聲明，自2014年起，即存在第三方對(duì)其旗下喜達(dá)屋網(wǎng)絡(luò)未經(jīng)授權(quán)的訪(fǎng)問(wèn)，該第三方“已復(fù)制并加密了某些信息，并采取措施試圖將該信息移出”。2018年11月19日，萬(wàn)豪國(guó)際解密該信息發(fā)現(xiàn)，確定信息內(nèi)容來(lái)自喜達(dá)屋賓客預(yù)訂數(shù)據(jù)庫(kù)。

    “這屬于APT，即高級(jí)可持續(xù)性威脅攻擊。”12月2日，網(wǎng)絡(luò)安全專(zhuān)家張百川表示，“黑客入侵后不破壞數(shù)據(jù)，只潛伏，以獲取更多的、實(shí)時(shí)的數(shù)據(jù)，謀取更深層次的利益。”

    據(jù)了解，黑客入侵系統(tǒng)后，可以在服務(wù)器里安置“后門(mén)”，達(dá)到源源不斷獲取最新數(shù)據(jù)的目的。

    而對(duì)于最初黑客是如何“入侵”喜達(dá)屋系統(tǒng)的，西安郵電大學(xué)副教授任方認(rèn)為，目前針對(duì)企業(yè)數(shù)據(jù)庫(kù)的攻擊手段很多，簡(jiǎn)單的如弱口令暴力破解、SQL注入等，還可以利用數(shù)據(jù)庫(kù)本身的漏洞甚至是人工竊取等方式獲得數(shù)據(jù)庫(kù)的數(shù)據(jù)。根據(jù)所使用的數(shù)據(jù)庫(kù)類(lèi)型和管理系統(tǒng)的安全性不同，攻擊手段不同。

    在張百川看來(lái)，由于萬(wàn)豪國(guó)際在聲明中并沒(méi)有給出更多資訊，所以無(wú)法知曉黑客從何入侵，可能是訂房系統(tǒng)。“目前很多酒店都有在線(xiàn)訂房業(yè)務(wù)，這里的安全問(wèn)題往往比較容易暴露出來(lái)，被黑客利用。據(jù)我所知，多數(shù)酒店沒(méi)有強(qiáng)有力的防范、對(duì)抗黑客的手段。有的會(huì)買(mǎi)傳統(tǒng)防火墻，但傳統(tǒng)防火墻對(duì)新型攻擊幾乎無(wú)能為力。Web安全、郵件安全、數(shù)據(jù)庫(kù)安全、WiFi安全，都是問(wèn)題。”
另一方面，相比較為初級(jí)的酒店信息防護(hù)，酒店客戶(hù)數(shù)據(jù)卻“價(jià)值連城”。

    此前，華住集團(tuán)泄露的5億條客戶(hù)信息在暗網(wǎng)上以37萬(wàn)元的價(jià)格“打包”出售。在曾經(jīng)做過(guò)房地產(chǎn)銷(xiāo)售的羅先生看來(lái)，酒店客戶(hù)信息的價(jià)值遠(yuǎn)不止此。“目前黑市上房產(chǎn)業(yè)主的電話(huà)號(hào)碼可以賣(mài)到2000元一萬(wàn)條，而此次泄露的信息更多，價(jià)值更大”。羅先生說(shuō)，最簡(jiǎn)單的，如果信息泄露涉及中國(guó)的客戶(hù)，黑客將數(shù)據(jù)中消費(fèi)金額高、住址為北上廣等一線(xiàn)城市的人篩選出來(lái)，可以作為高端人士數(shù)據(jù)在市場(chǎng)上買(mǎi)賣(mài)。此外，由于酒店有開(kāi)房記錄和家庭住址這些敏感信息，也有可能被詐騙分子利用。

    酒店數(shù)據(jù)泄露是通過(guò)哪些途徑？

    騰訊安全云鼎實(shí)驗(yàn)室首席架構(gòu)師李濱表示，數(shù)據(jù)安全的威脅不僅可能來(lái)自于外部的黑客攻擊，更多可能來(lái)自于內(nèi)部人員的疏忽大意和蓄意越權(quán)訪(fǎng)問(wèn)，以及內(nèi)外部業(yè)務(wù)系統(tǒng)的關(guān)聯(lián)接口。

    一般而言，數(shù)據(jù)在三個(gè)途徑上有泄露的風(fēng)險(xiǎn)：外部威脅、內(nèi)部威脅、第三方數(shù)據(jù)處理。

    外部威脅包括來(lái)自互聯(lián)網(wǎng)和企業(yè)外部的黑客攻擊等行為。在這個(gè)攻擊途徑上，黑客對(duì)數(shù)據(jù)系統(tǒng)的攻擊主要是利用開(kāi)發(fā)運(yùn)維人員因?yàn)橐粫r(shí)疏忽而暴露在互聯(lián)網(wǎng)上的數(shù)據(jù)訪(fǎng)問(wèn)接口和訪(fǎng)問(wèn)憑據(jù)對(duì)數(shù)據(jù)進(jìn)行違規(guī)訪(fǎng)問(wèn)；或者利用應(yīng)用系統(tǒng)編程的漏洞，例如SQL注入或XSS腳本繞過(guò)數(shù)據(jù)庫(kù)的認(rèn)證機(jī)制越權(quán)訪(fǎng)問(wèn)信息。

    內(nèi)部威脅主要來(lái)源于企業(yè)內(nèi)部員工的無(wú)意或蓄意的違規(guī)訪(fǎng)問(wèn)數(shù)據(jù)造成的信息泄露，根據(jù)IBM2018年威脅情報(bào)指數(shù)的報(bào)道，2017年內(nèi)發(fā)生的數(shù)據(jù)泄露事件，60%和內(nèi)部原因有關(guān)。來(lái)源于企業(yè)內(nèi)部的數(shù)據(jù)安全攻擊又分為兩類(lèi)情況，一類(lèi)是內(nèi)部惡意員工利用合法的權(quán)限或非法獲取他人的權(quán)限，進(jìn)行數(shù)據(jù)訪(fǎng)問(wèn)和竊取。當(dāng)前的經(jīng)濟(jì)環(huán)境中對(duì)于高價(jià)值的企業(yè)數(shù)據(jù)來(lái)說(shuō)，商業(yè)間諜和“內(nèi)鬼”造成的數(shù)據(jù)失竊事件頻率越來(lái)越高，加強(qiáng)內(nèi)部安全管控值得注意。

    另一類(lèi)情況是由于企業(yè)內(nèi)部人員的一時(shí)疏忽，在日常IT使用過(guò)程中，業(yè)務(wù)終端被導(dǎo)入木馬，或企業(yè)的內(nèi)部業(yè)務(wù)系統(tǒng)因?yàn)閼?yīng)用漏洞被黑客通過(guò)近場(chǎng)進(jìn)行內(nèi)部攻擊，然后進(jìn)一步用這些設(shè)備作為跳板，來(lái)獲取系統(tǒng)內(nèi)的訪(fǎng)問(wèn)權(quán)限?，F(xiàn)在隨著移動(dòng)辦公、無(wú)線(xiàn)網(wǎng)絡(luò)等新技術(shù)的廣泛應(yīng)用，原來(lái)傳統(tǒng)企業(yè)概念中的物理安全邊界并不可靠，來(lái)源于內(nèi)部的訪(fǎng)問(wèn)也不一定就安全可靠，內(nèi)網(wǎng)系統(tǒng)和用戶(hù)終端的安全防護(hù)需要考慮，用戶(hù)和關(guān)鍵數(shù)據(jù)的訪(fǎng)問(wèn)行為也需要持續(xù)監(jiān)控。

    同時(shí)，值得注意的途徑還有企業(yè)與第三方的數(shù)據(jù)交換和外包。現(xiàn)在很多企業(yè)會(huì)進(jìn)行數(shù)據(jù)處理的外包，或因業(yè)務(wù)連接而進(jìn)行數(shù)據(jù)的交換。在與第三方進(jìn)行數(shù)據(jù)交換和處理的過(guò)程中安全保護(hù)措施的疏忽也會(huì)是一個(gè)重要的直接或間接泄露途徑，2018年初Facebook5000萬(wàn)用戶(hù)數(shù)據(jù)泄露事件就是第三方數(shù)據(jù)處理因素造成的典型案例。

    酒店業(yè)對(duì)于信息保護(hù)有什么方法？

    對(duì)于酒店業(yè)數(shù)據(jù)庫(kù)保護(hù)，從企業(yè)層面來(lái)說(shuō)，要做好數(shù)據(jù)安全的防范至少要做到識(shí)別關(guān)鍵數(shù)據(jù)，做好數(shù)據(jù)分類(lèi)分級(jí)，清晰地了解企業(yè)內(nèi)的關(guān)鍵數(shù)據(jù)和價(jià)值，知曉數(shù)據(jù)的位置、邊界和關(guān)系，并制定針對(duì)性的保護(hù)策略，以及持續(xù)監(jiān)控，主動(dòng)發(fā)現(xiàn)，對(duì)網(wǎng)絡(luò)邊界、業(yè)務(wù)終端和數(shù)據(jù)庫(kù)的異常訪(fǎng)問(wèn)行為進(jìn)行持續(xù)性監(jiān)控，及時(shí)分析和處理。此外，還要做到對(duì)外和對(duì)內(nèi)的安全防控，做到關(guān)鍵數(shù)據(jù)保護(hù)等。

    酒店業(yè)作為各種信息系統(tǒng)、智能化設(shè)備及移動(dòng)網(wǎng)絡(luò)技術(shù)應(yīng)用廣泛的典型行業(yè)，同時(shí)又因涉及海量涵蓋了客人自然信息、銀行賬戶(hù)、入住情況及其他高度隱私類(lèi)數(shù)據(jù)信息而成為對(duì)信息安全建設(shè)和保障工作最為敏感的行業(yè)之一。

    隨著信息化特別是移動(dòng)互聯(lián)網(wǎng)技術(shù)的推進(jìn)，云計(jì)算、大數(shù)據(jù)、移動(dòng)設(shè)備大規(guī)模接入、社交媒體、網(wǎng)絡(luò)支付、智能感測(cè)和控制設(shè)備越來(lái)越多地用于酒店的經(jīng)營(yíng)和管理，酒店信息化變得越來(lái)越重要也越來(lái)越復(fù)雜，同時(shí)非法的網(wǎng)絡(luò)攻擊行為和黑客技術(shù)也趨于頻繁和更具攻擊性和逐利性。

    而酒店最大的特殊性就是會(huì)掌握大量的個(gè)人基本信息，如果酒店自身的信息管理不當(dāng)，住客們的隱私就會(huì)存在很大的安全隱患，所以酒店在信息安全管理方面是要負(fù)責(zé)任的。特別是在互聯(lián)網(wǎng)發(fā)展迅猛的今天，無(wú)論是企業(yè)還是個(gè)人，信息安全問(wèn)題一直處在風(fēng)口浪尖，頗受爭(zhēng)議，同時(shí)也是網(wǎng)絡(luò)安全從業(yè)者關(guān)注的重中之重。
客人信息泄露是否追究酒店責(zé)任？

    有律師認(rèn)為，如果酒店泄露客人信息，應(yīng)該追究酒店的責(zé)任。但專(zhuān)家認(rèn)為，目前的法律條款尚不足以提高酒店管理者對(duì)信息安全保護(hù)問(wèn)題的重視。需要增加立法和加強(qiáng)監(jiān)管。

    律師楊繼先認(rèn)為，如果酒店泄露客人的信息，應(yīng)該追究酒店的責(zé)任，因?yàn)榫频暧斜Ｕ峡腿诵畔踩牧x務(wù)。

    《消費(fèi)者權(quán)益保護(hù)法》規(guī)定：在入住并且提供個(gè)人信息時(shí)客戶(hù)就已經(jīng)與酒店形成了合同關(guān)系，表面上看兩者之間只是住客支付費(fèi)用，酒店提供住處，但實(shí)際上還有一些基于這個(gè)合同而產(chǎn)生的附加條件，其中就包括住客提供的個(gè)人隱私信息應(yīng)該得到酒店的保護(hù)。假如因?yàn)樾畔⑿孤抖o消費(fèi)者帶來(lái)?yè)p失，酒店則應(yīng)承擔(dān)民事賠償責(zé)任。

    公安部發(fā)布的《旅館業(yè)治安管理?xiàng)l例》也對(duì)酒店住客入住、監(jiān)控、信息安全等做出了詳細(xì)規(guī)定。其中明確指出，旅館及其工作人員，不得向任何單位和個(gè)人提供住宿人員相關(guān)信息和視頻監(jiān)控資料。若向有關(guān)部門(mén)、單位或個(gè)人提供住宿人員相關(guān)的情況應(yīng)當(dāng)進(jìn)行登記。

    但在任方看來(lái)，目前的法律條款尚不足以提高酒店管理者對(duì)信息安全保護(hù)問(wèn)題的重視。

    “目前，國(guó)內(nèi)法律法規(guī)對(duì)酒店泄露客人信息的懲罰力度并不大，我沒(méi)有聽(tīng)說(shuō)哪一家酒店或者服務(wù)性公司因?yàn)檫@類(lèi)事受到過(guò)很大的處罰。”任方說(shuō)，“信息安全問(wèn)題這幾年突然集中式爆發(fā)，各方面都沒(méi)有做好準(zhǔn)備，服務(wù)行業(yè)從業(yè)者都應(yīng)該提高安全服務(wù)意識(shí)，但他們往往做不到。”

    任方認(rèn)為，如果要求酒店提高安全性，則需要專(zhuān)業(yè)的技術(shù)，會(huì)造成管理系統(tǒng)的復(fù)雜化，還需要專(zhuān)業(yè)的技術(shù)和管理人員，這將提高酒店的成本，這肯定是大多數(shù)商家不愿意看到的。對(duì)此，將來(lái)需要增加這一方面的立法，以及加強(qiáng)監(jiān)管。

    就當(dāng)下看，若大量住客信息泄露的事件發(fā)生在我國(guó)，受害者如何維權(quán)，律師如何介入并不明晰。這已被部分外國(guó)公司在發(fā)生損害消費(fèi)者利益事件后，對(duì)中外消費(fèi)者持明顯不同的兩種態(tài)度所印證。鑒于此，如何利用好消費(fèi)者訴訟的方式對(duì)此形成制衡，還需要繼續(xù)探索。